情報セキュリティ管理の心得

1 情報セキュリティは終わりなき戦い
2 情報セキュリティマネジメントは孤独である
3 情報セキュリティは攻めである
4 情報セキュリティはリターンの見えにくい投資である
5 情報セキュリティマネジメントは総力戦である
6 情報セキュリティマネジメントのやりがい

1 情報セキュリティは終わりなき戦い

セキュリティ業務のスコープがとにかく広い:
社内各種規程制定、サービスポリシー制定、リスクアセスメントと改善計画、社内外システム設計運用ガイドラインとレビュー、オフィス物理セキュリティ設計、社員教育、ISMS審査、脆弱性管理、品質管理、緊急対応体制CSIRT構築、セキュリティオペレーションセンターSOC構築などなど。

例えば、会社やサービスのポリシー策定だけても、
業務内容を全て把握した上で、ほぼ全ての部門のマネジメントからの合意が必要で、
取りまとめがとにかく大変。

戦いとのことですので、リスクをリストアップすると、
従業員の不正活動、
ソフトウェア脆弱性、
目に見えない攻撃者、
サービス不正利用者、
従業員の意識低下、
社員の業務怠慢、
部門間縦割り、
クレーマー来社、
ソフトウェア/ハードウェアベンダー品質、
パートナーの怠慢、
委託派遣アルバイト社員の不正、
委託先の品質、
M&A先の管理体制、
などなど数え切れない。

例えば、攻撃者は日々攻撃の手口を変えてる。
常に監視すれば分かるが、1ヶ月前の対策が実にもう無効となっている。

例えば、OSやOSSの脆弱性が日々更新される。
どのソフトウェア部品が、どの優先順位で、
どのくらいの期間内に担当に対応してもらうか、決めないといけない。

やろうとしていることが山ほどありますが、リソースが限られている。
何をやる、何をやらないか、常に判断しないといけない。

2 情報セキュリティマネジメントは孤独である

セキュリティ投資は、成果が見えにくいし、投資対効果が評価しにくい。
コストセンターで経営陣に理解してもらうことが大変難しい。
社員を縛る為にルールだけを作る部類に見える。
手続きが面倒、お役所仕事だとの評判。
インシデントがなければ成果がもっと見えない。
人事評価も難しい。
セキュリティ対応の優先順位と現場間の優先順位のずれが常にある。

ただビジネスを守る為、必ず誰かしないといけない。

3 情報セキュリティは攻めである

実は、情報セキュリティは、全ての業務の一環であり、別に何か特別なことではない。
現代人は、ITが自分たちの仕事と生活の中に浸透されている。
交通の安全性を守る為に、交通ルールを遵守する事が同様に、
ITの安全性を守る為に、情報セキュリティを遵守する事が当たり前との認識が必要。

情報セキュリティを理解した上で、各種ビジネス判断を下す事が実にスピードに繋がる。
例えば新しいサービス・機能を作る時に、開発工程の全フェーズにおいて、
特にビジネス分析やシステム上流設計の段階から、
情報セキュリティの設計も業務の一環として進める事が結果的にPJ進行がスムーズになる。

システムリリース前に慌てて脆弱性診断して設計やり直し事が何回も見たから。
システムがダウンして、プロジェクトを長く止めた事も。
データ流出して、経営陣がマスコミの前で謝罪する事も。

ですので、情報セキュリティは守りだけではなく、攻めでもあると思う。
ビジネス開発、技術開発部隊と一緒にビジネス開拓していく事が、組織として最適であると思う。

4 情報セキュリティはリターンの見えにくい投資である
下記全部揃いたいが、
コンサル費用、業務委託費、研修、従業員教育、監視カメラ、物理業務区域、警備員、追跡と監視システム、ファイアウォール、バックアップシステム、ログシステム、従業員PCセキュリティソフトウェア、可視化システム、ヒューマンリソース
流石にいっぺんに無理でしょ。
段階的に、会社の体力とビジネス規模に合わせて少しづつやっていくしかない。
なお、導入効果を何らかの形で可視化しないといけない。

5 情報セキュリティマネジメントは総力戦である
まずは情報戦。
情報収集にリソースをかけないといけないし、日々怠る事ができない。
情報は、世の中の脆弱性や攻撃の情報が中心だが、内部情報のモニタリングと分析がもっと大事。
機械学習やAIなどの時代は、データを地味に分析する事が何より重要である。
よくAIを導入すれば何もできるよと聞くが、実はそんなマジックがどこにもない。
地味な作業だからコストが非常にかかる。

それから情報に基づく防御戦。
考えられる脅威は、DoS攻撃、ATP攻撃、個人情報流出、大規模システムダウン、データ消失、サービス不正利用、内部不正、自然災害など。
未然防止策を策定し、着実に実施する。
定期的に教育と点検を行う。
なお、定期に訓練を行う事も大事。
机上訓練から模擬環境を用意して訓練まで色んな形があるが、リソースや予算などを配慮しながら必ず実施したい。

時には攻撃をかける。
例えば認証認可手段の強化のため、仕様を大幅に更新。
例えば本人確認ができるように、時間と手間がかかるが店舗や郵送などリアルな手段を使う。
例えばアクセスコントロール強化のために、オフィスを改造して専用エリアを作る。
例えばBCPのため、システムを多重化する。

ですので、セキュリティは総力戦。
企業は体力があるないかで取る手段が大分異なるけど。

6 情報セキュリティマネジメントのやりがい

プレゼン力がない、綺麗なパワーポイント資料が作れない、人の前でのスピーチが苦手。
ただ、責任感がある。
ITエンジニヤリング全工程を俯瞰できる。
100人程度の規模から1万人規模の会社の成長を十数年間経験してきたので、成長に応じてビジネス規模や体力に合った施策を覚えてきた。
機密性Confidentiality、完全性Integrity、可用性Availability、すなわちCIA三要素を用いてビジネスに貢献する事ができれば何よりだ。